anonym.legal

By · Last updated 2026-06-06

Volver al BlogGDPR y Cumplimiento

DSB Austria: La DPA Detrás de Schrems I & II...

La DSB de Austria es la DPA local de NOYB (422 quejas gestionadas 2022-2024).

June 6, 20268 min de lectura
Austria DSBNOYBSchremsGDPR data transfersEU-US privacy

DSB Austria: Schrems y Transferencias de Datos

La Datenschutzbehörde (DSB) de Austria es la autoridad reguladora de referencia para NOYB. NOYB significa None of Your Business. Max Schrems fundó la organización. Ha presentado más de 1.000 reclamaciones del RGPD desde 2018. La DSB tramitó 422 de esos casos entre 2022 y 2024.

Ese historial importa. La DSB está en el centro de dos batallas legales que ya reformaron el derecho de transferencias de la UE.

NOYB y la DSB: Un Patrón

Schrems I (2015): Schrems presentó una reclamación sobre los flujos UE-EE. UU. de Facebook. El TJUE anuló el Safe Harbor. Más de 4.000 empresas usaban ese marco.

Schrems II (2020): Una segunda demanda afectó al Privacy Shield. Más de 5.000 empresas dependían de él. Su anulación forzó nuevas negociaciones. El resultado fue el Marco de Privacidad de Datos UE-EE. UU. (DPF). El DPF entró en vigor en 2023.

Schrems III anticipado (2025–2026): NOYB ha impugnado la decisión de adecuación del DPF. Su argumento: la Sección 702 de FISA sigue siendo incompatible con el RGPD. Se espera una remisión al TJUE.

El 78 % de los casos de la DSB involucran transferencias transfronterizas o herramientas de terceros. Ese enfoque distingue a las autoridades austriacas del resto de reguladores de la UE.

La Resolución DSB sobre Google Analytics

La decisión de la DSB de enero de 2022 sobre Google Analytics fijó el modelo para los casos de transferencia.

Tres hallazgos clave surgieron de ella:

  1. Las direcciones IP son datos personales. Incluso las IPs truncadas pueden permitir la reidentificación en los sistemas de Google. Los registros de sesión empeoran el problema.
  2. El acceso de un proveedor de EE. UU. cuenta como transferencia. Cuando ingenieros estadounidenses pueden acceder a registros de usuarios de la UE, ese acceso es una transferencia bajo el RGPD. Esto incluye soporte, mantenimiento y órdenes legales.
  3. Las SCC sin TIA no son suficientes. Las Cláusulas Contractuales Tipo necesitan una Evaluación de Impacto de la Transferencia. La TIA debe demostrar que las leyes de espionaje de EE. UU. no anulan las protecciones de las SCC.

La DSB declaró responsable al operador austriaco del sitio web, no a Google. El operador era el responsable del tratamiento. Esto aplica a cada empresa de la UE que integra scripts de terceros. Consulte nuestra guía de cumplimiento del RGPD para las obligaciones del responsable.

Medidas Técnicas Adicionales

Tras Schrems II, el CEPD publicó orientaciones sobre medidas técnicas adicionales. Estas aplican cuando las SCC solas son insuficientes. La DSB aplica estas orientaciones.

Tres enfoques superan el escrutinio de la DSB:

Cifrado con claves en la UE. Cifrar los registros antes de que salgan de la UE. Mantener las claves de descifrado en manos de la UE. Si las autoridades de EE. UU. obligan al proveedor a entregar archivos, obtienen texto cifrado ilegible.

Seudonimización antes de la transferencia. Enviar solo tokens seudónimos al extranjero. Mantener la clave de reidentificación en la UE. Los archivos transferidos no contienen información personal directa.

Procesamiento local. Ejecutar todo el procesamiento en servidores alojados en la UE. Transferir solo estadísticas agregadas y verdaderamente anónimas. Ningún registro personal cruza fronteras.

La DSB lo ha confirmado. Los grupos que usan proveedores SaaS de EE. UU. para datos personales de la UE deben aplicar al menos uno de estos enfoques. O deben demostrar que el contenido transferido es realmente anónimo.

El Riesgo de Schrems III

Las empresas que dependen únicamente del DPF enfrentan un riesgo claro. Si el recurso de NOYB ante el TJUE prospera, esas firmas deben encontrar nuevos mecanismos de transferencia rápidamente. Eso es exactamente lo que ocurrió en 2015 y 2020.

Los grupos que usan medidas técnicas adicionales están protegidos. Si el contenido es realmente anónimo, no se produce ninguna transferencia en virtud del RGPD. Una invalidación del DPF no cambia nada para ellos.

Para operaciones en Austria: las herramientas de análisis (Google Analytics, Mixpanel, Amplitude) crean exposición ante la DSB. También los CRM con empresas matrices en EE. UU. (Salesforce, HubSpot). Las plataformas en la nube donde el personal de EE. UU. tiene acceso de administrador conllevan el mismo riesgo.

La solución es la misma en cada caso. Asegurarse de que los datos personales sean realmente anónimos antes de llegar al proveedor. O cifrarlos con claves que solo el responsable de la UE posea. Nuestro resumen de seguridad y cumplimiento explica cómo el diseño de conocimiento cero elimina el problema de transferencia en su origen.

Fuentes

Artículos Relacionados

GDPR y Cumplimiento

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR y Cumplimiento

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR y Cumplimiento

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.